Разработчик нашёл уязвимость у страховщика и оказался на грани юридического разбирательства

[Lev3250]

Всё большое убеждаюсь, что о уязвимостях надо сообщать анонимно даже белым хакерам. Чтобы если компания адекватная, то тогда выходить на связь/баг баунти и т.д. А если там отморозки-идиоты, то по истечении периода уведомления выкладывать в общий доступ/продавать (тут по совести)

[DmitryKolosov]

Зачем сообщать об уязвимостях?

[Belkogoth]

Подобные идиоты понимают только леща и оглоблю понад хребтиной. То есть пока уязвимость не отработает в реальных условиях, и контора не получит от государства штраф в масштабах оборота - они так и будут лечить понос методом затыкания дырки в заднице и отыгрываться на слабых, делая их козлами отпущения. Крысы, олним словом.

Мне кажется, с такими поможет только анонимное общение с мерами личной безопасности, чтобы понять, что они за сухофрукты, а если начнут угрожать вместо банального "спасибо" - сливать к чертям всё. Доброе слово и Кольт способны сделать куда больше, чем просто доброе слово)))

[stantum]

Они вроде исправили уязвимость, и весь сыр-бор произошел из-за запугивания вместо «спасибо за обнаружение».

Вот за такую реакцию - уже да, нужно хорошего леща.

[fire64]

Бывают такие неадекватные...

Я помню когда две дырки на сайте ЛДПР нашел, их админы мне благодарны были.

Бабок не заплатили, да мне и не нужно было.

[theult]

Имхо, надо было опубликовать название компании и ее представителей, чтобы знали в следующий раз, что не стоит гнуть пальцы, если накосячили. Абсолютно неадекватная реакция, для организации могло случиться все гораздо хуже и с огромными штрафами и с оглаской хакерами. Странно, что их сразу на место не поставили, а юристов не послали эротическим пешим...